Przejęcie kontroli nad stroną Kancelarii Prezesa Rady Ministrów to raczej efekt nieodpowiedzialności jej administratora niż wyrafinowanych działań hakerów. Ale nawet mimo tego incydentu wrażliwe dane wydają się całkowicie bezpieczne mówi Przemysław Jaroszewski z CERT Polska, zespołu powołanego do reagowania na wydarzenia naruszające bezpieczeństwo w sieci.
Karol Manys: Przez weekend mieliśmy do czynienia jedynie z blokowaniem rządowych stron internetowych, co samo w sobie nie niesie poważnych zagrożeń. Ale sytuacja się zmieniła i doszło do przejęcia przez hakerów kontroli nad witryną premiera. To oznacza, że żarty się skończyły?
Przemysław Jaroszewski: Tak to już jest ? przy okazji takich akcji, z jaką mieliśmy do czynienia przez weekend, zawsze znajdzie się ktoś, kto zechce udowodnić, że można pójść dalej. Ktoś uznał, że ataki blokujące to tylko zabawa, a on pokaże, jak się naprawdę hakuje. No i się udało. Znalazł okazję i podmienił stronę.
Takie przejęcie kontroli nad witryną to skomplikowana sprawa?
Dla kogoś, kto się na tym zna, nie. Jeśli wierzyć temu, co napisali sami włamywacze, w tym przypadku był to jednak efekt zwykłej niedbałości administratora.
Ma Pan na myśli banalny login do panelu administracyjnego? Ustawianie tak prostego hasła to nieodpowiedzialność?
Jeśli ktoś ma login admin, a hasło admin1, to musi się liczyć z konsekwencjami. Bo nie dość, że w ogóle zostawił możliwość logowania się do takiej strony z ogólnodostępnej sieci, to jeszcze zabezpieczył to tak banalnym i niefortunnym hasłem. Trzeba oczywiście zastrzec, że to wersja, którą podali sami sprawcy, i tak naprawdę nie ma możliwości weryfikacji, czy jest prawdziwa. Nie sądzę bowiem, by administrator kancelarii potwierdził, że rzeczywiście takie były te hasła. Ale jestem w stanie w to uwierzyć. Odpowiedzialna osoba czegoś takiego nie robi. Używanie tak prostego hasła do tak ważnej strony jest, delikatnie rzecz ujmując, mało rozsądne. Tym bardziej że to nawet nie jest kwestia przypadkowego odgadnięcia. Tak typowe loginy po prostu łatwo i szybko daje się odszyfrować. Jeśli wierzyć sprawcom, sami byli zaskoczeni, że tak łatwo im poszło, bo próbowali przełamywania skomplikowanych zabezpieczeń, a okazało się, że wypróbowując bazę standardowych haseł, uzyskali dostęp do strony.
Hakerzy mają wspomagające programy służące do takich ataków?
Owszem, biblioteki standardowych haseł to jedno z ich podstawowych narzędzi.
Jak głęboko mogli wejść, dysponując dostępem do strony?
Trudno powiedzieć, bo takie informacje ma tylko administrator sieci, i nie sądzę, by o tym mówił. Ale widzieliśmy zmianę zawartości strony WWW, czyli tylko pewnej zewnętrznej wizytówki. Mam nadzieję, że wewnętrzne zasoby informatyczne kancelarii premiera są lepiej chronione. Przypuszczam, że włamywacze uzyskali jedynie dostęp do systemu zarządzania samej strony. Nawet po dostaniu się w takie miejsce nie powinno być możliwości przedostania się z niego gdziekolwiek dalej. Zresztą jest raczej jasne, że dane wrażliwe w ogóle nie powinny być dostępne na żadnym publicznym serwerze. Z mocy prawa zupełnie inaczej są też chronione tajemnice państwowe czy systemy ważne dla funkcjonowania państwa, które muszą być w pełni bezpieczne.
Policja lub ABW będą w stanie odnaleźć osobę, która dokonała włamania?
Zazwyczaj to się udaje. Bo wbrew pozorom śladów takiej działalności zostaje więcej, niż się może wydawać. Nie chcę się wypowiadać, na ile skuteczny jest potem wymiar sprawiedliwości w wyciąganiu konsekwencji wobec takich osób. Ale samo ustalenie, kto takiego włamania dokonał, jest zwykle możliwe.
Istnieje jakiś skuteczny sposób, by się przed podobnymi atakami uchronić?
Stuprocentowych zabezpieczeń, niestety, nie ma. Tak naprawdę najważniejszy jest tzw. czynnik ludzki. Proste zabezpieczenie zrobione z rozmysłem może być wystarczające. A najbardziej kosmiczna technologia, zastosowana bez pomyślunku, może być kompletnie bezużyteczna.
Możliwe jest, że użytkownik komputera nieświadomie bierze udział w takim ataku?
Przy włamaniu na stronę można wykorzystać zainfekowane komputery, np. aby ukryć rzeczywiste źródło ataku. Często też zdarza się, że hasła administratora wyciekają, gdy zarażony jest komputer używany przez niego do logowania. O nieświadomości nie można jednak mówić w przypadku osób, które aktywnie biorą udział w atakach obliczonych na blokowanie stron, pobierając i uruchamiając odpowiednie oprogramowanie. Ale nieświadomy udział w nich też jest możliwy. Często biorą w nich udział źle chronione czy zainfekowane komputery wykorzystywane przez atakujących.
I nie wystarczy program antywirusowy, by się przed tym ustrzec?
Z programami antywirusowymi jest taki kłopot, że one wykrywają te groźne programy, które już są znane. Najlepszym sposobem na uchronienie się przed zainfekowaniem komputera jest nieotwieranie plików z niewiadomego źródła. Ale przecież trudno się spodziewać, że użytkownicy komputerów nie będą otwierać żadnych plików. Generalnie nie można popadać w paranoję, ale trzeba być świadomym zagrożeń.
Myśli Pan, że trwające od weekendu ataki i próby włamań na strony rządowe będą się nasilać czy teraz już raczej ucichną?
Tego typu działania motywowane są zazwyczaj chęcią zrobienia wokół siebie szumu. To już się trochę udało. Ale im więcej media na ten temat mówią, tym więcej chętnych, by pokonywać kolejne bariery. To działa jak efekt kuli śniegowej. Skoro udało się zaatakować premiera, to dlaczego nie zaatakować producenta paliw za wysokie ceny benzyny czy kogoś innego... Albo to umrze, albo zacznie żyć własnym życiem i będzie się dalej nakręcać. Wiele zależy teraz od reakcji samych prowodyrów akcji, których tak naprawdę przecież nie znamy.
Przemysław Jaroszewski: Tak to już jest ? przy okazji takich akcji, z jaką mieliśmy do czynienia przez weekend, zawsze znajdzie się ktoś, kto zechce udowodnić, że można pójść dalej. Ktoś uznał, że ataki blokujące to tylko zabawa, a on pokaże, jak się naprawdę hakuje. No i się udało. Znalazł okazję i podmienił stronę.
Takie przejęcie kontroli nad witryną to skomplikowana sprawa?
Dla kogoś, kto się na tym zna, nie. Jeśli wierzyć temu, co napisali sami włamywacze, w tym przypadku był to jednak efekt zwykłej niedbałości administratora.
Ma Pan na myśli banalny login do panelu administracyjnego? Ustawianie tak prostego hasła to nieodpowiedzialność?
Jeśli ktoś ma login admin, a hasło admin1, to musi się liczyć z konsekwencjami. Bo nie dość, że w ogóle zostawił możliwość logowania się do takiej strony z ogólnodostępnej sieci, to jeszcze zabezpieczył to tak banalnym i niefortunnym hasłem. Trzeba oczywiście zastrzec, że to wersja, którą podali sami sprawcy, i tak naprawdę nie ma możliwości weryfikacji, czy jest prawdziwa. Nie sądzę bowiem, by administrator kancelarii potwierdził, że rzeczywiście takie były te hasła. Ale jestem w stanie w to uwierzyć. Odpowiedzialna osoba czegoś takiego nie robi. Używanie tak prostego hasła do tak ważnej strony jest, delikatnie rzecz ujmując, mało rozsądne. Tym bardziej że to nawet nie jest kwestia przypadkowego odgadnięcia. Tak typowe loginy po prostu łatwo i szybko daje się odszyfrować. Jeśli wierzyć sprawcom, sami byli zaskoczeni, że tak łatwo im poszło, bo próbowali przełamywania skomplikowanych zabezpieczeń, a okazało się, że wypróbowując bazę standardowych haseł, uzyskali dostęp do strony.
Hakerzy mają wspomagające programy służące do takich ataków?
Owszem, biblioteki standardowych haseł to jedno z ich podstawowych narzędzi.
Jak głęboko mogli wejść, dysponując dostępem do strony?
Trudno powiedzieć, bo takie informacje ma tylko administrator sieci, i nie sądzę, by o tym mówił. Ale widzieliśmy zmianę zawartości strony WWW, czyli tylko pewnej zewnętrznej wizytówki. Mam nadzieję, że wewnętrzne zasoby informatyczne kancelarii premiera są lepiej chronione. Przypuszczam, że włamywacze uzyskali jedynie dostęp do systemu zarządzania samej strony. Nawet po dostaniu się w takie miejsce nie powinno być możliwości przedostania się z niego gdziekolwiek dalej. Zresztą jest raczej jasne, że dane wrażliwe w ogóle nie powinny być dostępne na żadnym publicznym serwerze. Z mocy prawa zupełnie inaczej są też chronione tajemnice państwowe czy systemy ważne dla funkcjonowania państwa, które muszą być w pełni bezpieczne.
Policja lub ABW będą w stanie odnaleźć osobę, która dokonała włamania?
Zazwyczaj to się udaje. Bo wbrew pozorom śladów takiej działalności zostaje więcej, niż się może wydawać. Nie chcę się wypowiadać, na ile skuteczny jest potem wymiar sprawiedliwości w wyciąganiu konsekwencji wobec takich osób. Ale samo ustalenie, kto takiego włamania dokonał, jest zwykle możliwe.
Istnieje jakiś skuteczny sposób, by się przed podobnymi atakami uchronić?
Stuprocentowych zabezpieczeń, niestety, nie ma. Tak naprawdę najważniejszy jest tzw. czynnik ludzki. Proste zabezpieczenie zrobione z rozmysłem może być wystarczające. A najbardziej kosmiczna technologia, zastosowana bez pomyślunku, może być kompletnie bezużyteczna.
Możliwe jest, że użytkownik komputera nieświadomie bierze udział w takim ataku?
Przy włamaniu na stronę można wykorzystać zainfekowane komputery, np. aby ukryć rzeczywiste źródło ataku. Często też zdarza się, że hasła administratora wyciekają, gdy zarażony jest komputer używany przez niego do logowania. O nieświadomości nie można jednak mówić w przypadku osób, które aktywnie biorą udział w atakach obliczonych na blokowanie stron, pobierając i uruchamiając odpowiednie oprogramowanie. Ale nieświadomy udział w nich też jest możliwy. Często biorą w nich udział źle chronione czy zainfekowane komputery wykorzystywane przez atakujących.
I nie wystarczy program antywirusowy, by się przed tym ustrzec?
Z programami antywirusowymi jest taki kłopot, że one wykrywają te groźne programy, które już są znane. Najlepszym sposobem na uchronienie się przed zainfekowaniem komputera jest nieotwieranie plików z niewiadomego źródła. Ale przecież trudno się spodziewać, że użytkownicy komputerów nie będą otwierać żadnych plików. Generalnie nie można popadać w paranoję, ale trzeba być świadomym zagrożeń.
Myśli Pan, że trwające od weekendu ataki i próby włamań na strony rządowe będą się nasilać czy teraz już raczej ucichną?
Tego typu działania motywowane są zazwyczaj chęcią zrobienia wokół siebie szumu. To już się trochę udało. Ale im więcej media na ten temat mówią, tym więcej chętnych, by pokonywać kolejne bariery. To działa jak efekt kuli śniegowej. Skoro udało się zaatakować premiera, to dlaczego nie zaatakować producenta paliw za wysokie ceny benzyny czy kogoś innego... Albo to umrze, albo zacznie żyć własnym życiem i będzie się dalej nakręcać. Wiele zależy teraz od reakcji samych prowodyrów akcji, których tak naprawdę przecież nie znamy.